BeyondTrust被黑事件新进展:PostgreSQL零日漏洞浮出水面!

admin
admin
admin
138655
文章
114
评论
2025年2月18日19:35:06评论12 views字数 2056阅读6分51秒阅读模式
BeyondTrust被黑事件新进展:PostgreSQL零日漏洞浮出水面!

各位,还记得去年12月曝出的BeyondTrust被黑事件吗?最新调查结果揭示了更深层次的漏洞利用链条!

Rapid7漏洞研究团队近日披露,攻击者在去年12月入侵特权访问管理公司BeyondTrust网络时,利用了一个PostgreSQL安全漏洞作为零日漏洞!

事件回顾:

  • BeyondTrust遭入侵:
     2024年12月初,BeyondTrust披露其系统和17个远程支持SaaS实例遭到攻击者入侵,攻击者利用了两个零日漏洞(CVE-2024-12356 和 CVE-2024-12686)和一个被盗的API密钥。
  • 美国财政部受牵连:
     2025年1月初,美国财政部披露其网络遭到攻击者入侵,攻击者使用了一个被盗的远程支持SaaS API密钥来入侵其BeyondTrust实例。
  • 中国黑客组织“Silk Typhoon”浮出水面:
     此后,财政部被黑事件被确认与中国国家支持的黑客组织“Silk Typhoon”有关。该组织是一个网络间谍组织,以侦察和数据盗窃攻击而闻名,曾在2021年初利用Microsoft Exchange Server ProxyLogon零日漏洞攻击了约68,500台服务器。
  • 针对关键部门:
     中国黑客特别针对负责审查外国投资以评估国家安全风险的美国外国投资委员会(CFIUS)和负责管理贸易和经济制裁计划的外国资产控制办公室(OFAC)。
  • 窃取制裁相关信息:
     Silk Typhoon被认为利用对财政部BeyondTrust实例的访问权限,窃取了"与潜在制裁行动和其他文件相关的非机密信息"。
  • CISA紧急行动:
     2024年12月19日,CISA将CVE-2024-12356漏洞添加到其已知被利用漏洞目录中,要求美国联邦机构在一周内保护其网络免受持续攻击。网络安全机构还于1月13日命令联邦机构修补其系统以防御CVE-2024-12686。

新发现:PostgreSQL零日漏洞(CVE-2025-1094)

在分析CVE-2024-12356的过程中,Rapid7团队在PostgreSQL中发现了一个新的零日漏洞(CVE-2025-1094),该漏洞于1月27日报告,并于周四进行了修补。 当PostgreSQL交互式工具读取不受信任的输入时,CVE-2025-1094允许SQL注入,因为它错误地处理了来自无效UTF-8字符的特定无效字节序列。

PostgreSQL安全团队解释说:“PostgreSQL libpq函数PQescapeLiteral()、PQescapeIdentifier()、PQescapeString()和PQescapeStringConn()中对引用语法的错误处理允许数据库输入提供者在某些使用模式下实现SQL注入。具体来说,SQL注入要求应用程序使用函数结果来构造对psql(PostgreSQL交互式终端)的输入。类似地,当client_encoding为BIG5且server_encoding为EUC_TW或MULE_INTERNAL之一时,PostgreSQL命令行实用程序中对引用语法的错误处理允许命令行参数源实现SQL注入。”

漏洞利用链条:

Rapid7的测试表明,成功利用CVE-2024-12356实现远程代码执行需要使用CVE-2025-1094。这意味着与BeyondTrust RS CVE-2024-12356相关的漏洞利用依赖于PostgreSQL CVE-2025-1094的利用。

漏洞分类更正:

此外,虽然BeyondTrust表示CVE-2024-12356是一个命令注入漏洞(CWE-77),但Rapid7认为将其更准确地归类为参数注入漏洞(CWE-88)。

独立利用CVE-2025-1094:

Rapid7安全研究人员还发现了一种在易受攻击的BeyondTrust远程支持(RS)系统中独立于CVE-2024-12356参数注入漏洞利用CVE-2025-1094进行远程代码执行的方法。

BeyondTrust补丁有效性:

更重要的是,他们发现虽然BeyondTrust针对CVE-2024-12356的补丁没有解决CVE-2025-1094的根本原因,但它成功地阻止了这两个漏洞的利用。 Rapid7表示:“我们还了解到,可以在BeyondTrust Remote Support中利用CVE-2025-1094,而无需利用CVE-2024-12356。但是,由于CVE-2024-12356的补丁采用了一些额外的输入清理措施,利用仍然会失败。”

总结与警示:

  • BeyondTrust被黑事件揭示了复杂的漏洞利用链条,涉及多个漏洞的组合利用。
  • PostgreSQL零日漏洞(CVE-2025-1094)的发现凸显了数据库安全的重要性。
  • 及时修补漏洞至关重要,即使是看似不相关的漏洞也可能被攻击者串联利用。
  • 企业应加强对供应链安全的重视,特别是对第三方供应商的安全风险评估。

原文始发于微信公众号(技术修道场):BeyondTrust被黑事件新进展:PostgreSQL零日漏洞浮出水面!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月18日19:35:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BeyondTrust被黑事件新进展:PostgreSQL零日漏洞浮出水面!http://cn-sec.com/archives/3754988.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息